GitHub ने AI द्वारा खोजा गया RCE 6 घंटों के अंदर पैच किया — Wiz के मुताबिक़ यह closed-source binaries में AI से मिले पहले गंभीर bugs में से एक

The Verge ने 29 अप्रैल को रिपोर्ट किया कि GitHub ने Wiz Research द्वारा disclosure के बाद छह घंटों से कम में एक critical remote code execution vulnerability को पैच कर दिया। यह vulnerability GitHub के internal git infrastructure में थी और हमलावरों को "लाखों public और private code repositories" तक access दे सकती थी, Wiz के अनुसार। मायने रखने वाला हिस्सा है खोज का तरीक़ा: Wiz ने bug ढूंढने के लिए AI models का इस्तेमाल किया। Wiz के researcher Sagi Tzadik के अनुसार, यह "AI का उपयोग करके closed-source binaries में खोजी गई पहली critical vulnerabilities में से एक है, यह दर्शाते हुए कि ऐसी कमज़ोरियों की पहचान कैसे हो रही है उसमें बदलाव आ रहा है।" GitHub का जवाब, CISO Alexis Walesa के अनुसार: 40 मिनट में आंतरिक रूप से reproduce, थोड़े से दो घंटों में validation से github.com पर deploy किया गया fix, forensic जांच ने दिखाया कि कोई exploitation नहीं हुआ। disclosure से deploy किए गए fix तक ~6 घंटे, GitHub.com और GitHub Enterprise Server दोनों पर।

दो technical signals बाहर खड़े होते हैं। पहला, closed-source framing मायने रखती है। अधिकांश सार्वजनिक AI-vulnerability research open-source code के विरुद्ध रही है, जहां model सीधे source पढ़ता है। AI का उपयोग करके closed-source git binary में एक critical RCE खोजना यह बताता है कि model binaries, traffic, observed inputs, या fuzzing results से व्यवहार के बारे में reasoning कर रहा था — कठिन, security-research के लिए अधिक प्रासंगिक, और threat-model में एक विश्वसनीय बदलाव। दूसरा, Wiz ने bug को "उल्लेखनीय रूप से exploit करने में आसान" बताया, बावजूद GitHub की underlying system complexity के। यह संयोजन — exploit करना आसान पर एक जटिल system के अंदर छिपा — ठीक वही failure pattern है जिसे AI-संचालित fuzzing और pattern-matching अच्छी तरह सामने लाता है। 2026 भर में इस प्रकार के और disclosures की उम्मीद रखें।

यह GitHub के लिए चल रही reliability narrative के बीच में उतरता है। Tom Warren की The Verge में रिपोर्टिंग नोट करती है कि यह patch "GitHub के एक बड़े outage के कुछ ही दिन बाद आया जिसने कुछ users के लिए पहले से merged commits को randomly revert कर दिया था," साथ ही "पिछले हफ़्ते के अन्य outages" — हमने कल जो multi-service outage cover किया (Issues 20h, Pages 20h, Actions 14h) उसका विस्तार करते हुए। Warren एक अनाम GitHub कर्मचारी का हवाला देते हैं: "कंपनी ढह रही है, उन outages में जो वाक़ई वाक़ई बहुत बुरे हैं और कंपनी की प्रतिष्ठा को जला चुके हैं… और leadership के exodus में।" Security पक्ष को एक positive data point मिलता है — exploitation के बिना 6-घंटे का fix बेहतरीन है — लेकिन यह उस संदर्भ में आता है जहां GitHub का operational स्वास्थ्य सार्वजनिक रूप से सवालों में है। 28 अप्रैल को Copilot pricing reset, बहु-दिवसीय outage cluster, और अब AI-disclosed RCE मिलकर एक निरंतर अप्रैल pattern बनाते हैं।

Builders के लिए, तीन ठोस बातें। पहला, closed-source binaries में AI-संचालित vulnerability discovery अब एक विश्वसनीय, प्रदर्शित capability है। अगर आप binaries ship करते हैं और मानते हैं कि source access की कमी आपको automated bug discovery से बचाती है, अपना threat model update करें। दूसरा, आपके bug bounty की प्रभावशीलता fix-deploy गति से मापी जाती है, केवल bounty आकार से नहीं। GitHub ने इस disclosure के लिए "हमारे Bug Bounty कार्यक्रम में उपलब्ध सबसे ऊंचे rewards में से एक" का भुगतान किया, और disclosure-to-fix path इसलिए काम कर पाया क्योंकि GitHub के पास छह घंटों से कम में validate और patch करने के लिए operational infrastructure थी। दोनों आधे मायने रखते हैं। तीसरा, GitHub trend hosting decisions के लिए मायने रखती है, भले ही आज आप hosts नहीं बदलते। Reliability narrative + leadership exodus + AI-disclosed criticals यह वह तरह का pattern है जो maintainers द्वारा धीरे-धीरे mirrors migrate करने के साथ ख़त्म होता है। 2026 भर में उच्च-profile project mirror announcements पर नज़र रखें; pattern अक्सर कुछ प्रमुख maintainers से शुरू होकर cascades होता है।